Aktywacja i obsługa raportowania centralnego Sophos Firewall
Dzięki Central Firewall Reporting, Sophos Firewall przesyła wybrane dane logów do Sophos Central. Umożliwia to centralną analizę raportów, ich przechowywanie i udostępnianie innym osobom w razie potrzeby.
Artykuł wyjaśnia, jak aktywować Central Reporting, jakie punkty należy sprawdzić wcześniej i jak kontrolować, czy dane logów docierają do Sophos Central.
Który artykuł o logowaniu jest odpowiedni?
Central Firewall Reporting jest elementem architektury logów. W zależności od celu, lepszym punktem wyjścia może być inny artykuł:
- Analiza raportów i logów zapory w Sophos Central: Ten artykuł
- Sprawdzanie pojedynczego połączenia, ID reguły, ID NAT lub przepływu pakietów na żywo: Testowanie reguł Sophos Firewall za pomocą Log Viewer, Policy tester i Packet Capture
- Wysyłanie logów do własnego SIEM lub serwera logów: Wysyłanie Syslog Sophos Firewall do SIEM
- Klasyfikacja lokalnych plików logów, usług i Advanced Shell: Rozwiązywanie problemów z usługami i logami Sophos Firewall
- Zabezpieczanie logów dla wsparcia Sophos lub Avanet: Zabezpieczanie logów Sophos Firewall dla wsparcia lub analizy
- Śledzenie zmian konfiguracji: Sprawdzanie logów ścieżki audytu Sophos Firewall
- Analiza trafień NDR lub Active Threat Response: Obsługa NDR i Active Threat Response w Sophos Firewall
- Analiza przepływów ruchu zamiast zdarzeń logów: Konfiguracja monitorowania sFlow na Sophos Firewall
To rozgraniczenie jest ważne: Central Reporting jest dobre do raportów, wyszukiwania i historii w Sophos Central. Do analizy na żywo na zaporze, pakietów wsparcia, korelacji SIEM lub analizy przepływów potrzebne są inne narzędzia.
Kiedy Central Firewall Reporting jest pomocne
Central Firewall Reporting jest szczególnie przydatne, gdy obsługiwanych jest wiele zapór lub gdy raporty mają być regularnie analizowane.
Typowe przykłady:
- Centralny przegląd wielu zapór.
- Regularne raporty dla zarządzania lub operacji.
- Analiza zdarzeń sieciowych, aplikacyjnych, IPS, VPN lub sieciowych.
- Dłuższe przechowywanie i łatwiejsze wyszukiwanie danych logów.
- Wsparcie w rozwiązywaniu problemów i przeglądach bezpieczeństwa.
Do czystej analizy na żywo bezpośrednio na zaporze często wystarczają lokalne logi. Do długoterminowych analiz Central Reporting jest znacznie wygodniejsze. Jeśli logi mają być przesyłane do własnego SIEM lub zewnętrznego serwera logów, lepiej pasuje Wysyłanie Syslog Sophos Firewall do SIEM.
Wymagania
Przed aktywacją należy sprawdzić:
- Zapora jest zarejestrowana w Sophos Central.
- Zapora ma dostęp do Internetu do wymaganych usług Sophos.
- DNS i czas działają poprawnie.
- Używana licencja wspiera pożądaną funkcję raportowania.
- Zapora jest widoczna w Sophos Central.
Jeśli zapora nie jest jeszcze zarejestrowana w Sophos Central, należy to najpierw zrobić. Bez rejestracji nie można aktywować Central Firewall Reporting.
Aktywacja Central Reporting
Central Firewall Reporting jest aktywowane w dwóch miejscach: najpierw na zaporze, a następnie w Sophos Central.
- Zaloguj się do WebAdmin Sophos Firewall.
- Otwórz System > Sophos Central.
- Sprawdź pod Sophos Central registration, czy zapora jest zarejestrowana.
- Jeśli zapora nie jest jeszcze zarejestrowana, wybierz Register i zaloguj się na odpowiednie konto Sophos Central.
- Aktywuj Sophos Central services lub wybierz Configure, jeśli usługa jest już aktywna.
- Aktywuj Send reports and logs to Sophos Central.
- Opcjonalnie aktywuj Manage from Sophos Central, jeśli zapora ma być dodatkowo zarządzana centralnie.
- Opcjonalnie aktywuj Send configuration backups to Sophos Central, jeśli kopie zapasowe konfiguracji mają być przechowywane centralnie.
- Wybierz Apply.

Po zapisaniu należy potwierdzić usługę w Sophos Central:
- Zaloguj się do Sophos Central.
- Otwórz My Products > Firewall Management > Firewalls.
- Znajdź zaporę ze statusem lub symbolem Approval pending.
- Wybierz Accept services.
Po aktywacji firewall automatycznie tworzy wpis Syslog dla Central reporting i zaczyna wysyłać dane logów do Sophos Central. Przesyłanie i przetwarzanie nie muszą nastąpić natychmiast. Firewall wysyła dane do Sophos Central co najmniej co pięć minut. Następnie przetwarzanie w Central może potrwać kolejne minuty; Sophos zwykle podaje od pięciu do trzydziestu minut dla przetwarzania w bazie danych. Przy pierwszej kontroli nie należy więc od razu po zapisaniu ponownie zmieniać konfiguracji.
Jakie dane są przesyłane
Jakie typy logów są przesyłane do Sophos Central, definiuje się bezpośrednio na zaporze.
Ścieżka menu to Configure > System services > Log settings.
Pod Log settings znajduje się osobna kolumna Central reporting. Tam można zdecydować dla każdego typu logu, czy ma być przesyłany lokalnie, do Central, czy do obu miejsc.
Typowe obszary to:
- Reguły zapory.
- Ochrona sieci Web.
- Kontrola aplikacji.
- IPS.
- Active Threat Response.
- Zero-Day Protection.
- SD-WAN.
- VPN.
- Wireless, jeśli zdarzenia access point i SSID mają być widoczne centralnie.
- Zdarzenia systemowe.

Nie każda środowisko musi przesyłać wszystkie dane do Sophos Central. W środowiskach produkcyjnych należy sprawdzić, które typy logów są naprawdę potrzebne i czy wewnętrzne wytyczne dotyczące ochrony danych są przestrzegane.
⚠️ Im więcej typów logów jest przesyłanych do Sophos Central, tym szybciej zużywany jest dostępny magazyn. W środowiskach produkcyjnych należy świadomie zdecydować, które logi są naprawdę potrzebne do operacji, bezpieczeństwa i zgodności.
Ważna jest także różnica między logami a raportami: wybór w Central reporting steruje tym, które event logs są wysyłane do Sophos Central. Ten wybór nie zastępuje automatycznie lokalnych on-box reports i nie jest tym samym co kompletne pakiety logów dla supportu.
Jak długo Sophos przechowuje logi
Czas przechowywania zależy od licencji i dostępnego magazynu. Ważne jest: zawsze obowiązuje granica, która zostanie osiągnięta jako pierwsza. Jeśli magazyn jest pełny, starsze dane są usuwane zgodnie z zasadą FIFO.
- Central Firewall Reporting bez dodatkowej licencji raportowania: Do 7 dni Dostępne z aktywną subskrypcją zapory. Magazyn jest zależny od modelu i ograniczony.
- Xstream Protection Bundle: Do 30 dni Odpowiada ograniczonemu uprawnieniu Central Firewall Reporting Advanced.
- Sophos Central Firewall Reporting Advanced: Do 365 dni. Każda licencja CFR Advanced zwiększa dostępny magazyn o 100 GB. Firewalle z bardzo dużym wolumenem logów mogą potrzebować więcej niż jednej jednostki 100 GB, aby realnie osiągnąć maksymalny czas przechowywania.
Licencję Sophos Central Firewall Reporting Advanced można uzyskać w Avanet: Sophos Central Firewall Reporting Advanced. Dane opisują Central Firewall Reporting jako raportowanie w chmurze z wyszukiwaniem, raportami i do 365 dni przechowywania: Dane Sophos Central Firewall Reporting.
We wszystkich wariantach magazyn i maksymalny czas przechowywania działają razem. Gdy tylko zostanie osiągnięty jeden limit, starsze dane są usuwane zgodnie z zasadą first-in-first-out. Licencja z długim maksymalnym okresem przechowywania nie gwarantuje więc automatycznie, że każdy firewall rzeczywiście zachowa dane tak długo.
Planowanie przechowywania i odpowiedzialności
Central Reporting nie powinno być aktywowane tylko technicznie. Przedtem powinno być jasne, jakie typy logów są naprawdę potrzebne, jak długo dane muszą być dostępne i kto regularnie sprawdza raporty.
Dla operacji powinny być udokumentowane następujące punkty:
- Cel zbierania danych: rozwiązywanie problemów, przegląd bezpieczeństwa, audyt, raport zarządzania lub wsparcie.
- Potrzebne typy logów, na przykład zapora, sieć Web, IPS, VPN lub Active Threat Response.
- Pożądany czas przechowywania i odpowiednia licencja.
- Właściciel szablonów raportów, planowanych raportów i eskalacji.
- Wytyczne dotyczące ochrony danych lub zgodności dla danych użytkowników, URL i sieci.
- Decyzja, czy dodatkowo potrzebne są Syslog lub SIEM.
Jeśli logi są istotne dla reakcji na incydenty lub audytów, nie należy czekać do momentu awarii, aby sprawdzić, czy dane są kompletne. Krótki miesięczny raport kontrolny często wystarcza, aby zobaczyć, czy oczekiwane typy logów docierają i czy zużycie magazynu odpowiada planowanemu przechowywaniu.
Sprawdzanie przybycia logów
Po aktywacji dane nie zawsze pojawiają się natychmiast w Sophos Central. Należy zaplanować kilka minut opóźnienia.
Następnie należy sprawdzić te punkty:
- Zaloguj się do Sophos Central.
- Otwórz My Products > Firewall Management > Report Hub.
- Wybierz odpowiednią zaporę.
- Sprawdź widoczność aktualnych zdarzeń.
- Testowo utwórz prosty raport.

Jeśli dane nie są widoczne, należy najpierw sprawdzić połączenie, licencję i ustawienia logów.
Celowa walidacja raportowania
Raport z danymi nie dowodzi jeszcze, że Central Reporting jest w pełni użyteczne dla operacji. Po aktywacji należy przeprowadzić co najmniej mały plan walidacji.
- Czy logi reguł zapory docierają?: Wywołaj zalogowaną regułę testową i wyszukaj w Report Hub źródło, cel i ID reguły. Zdarzenie jest widoczne z odpowiednią zaporą, czasem i akcją.
- Czy zdarzenia sieci Web lub aplikacji są przesyłane?: Wykonaj znany test kontroli sieci Web lub aplikacji. Kategoria, użytkownik lub IP klienta pojawiają się w odpowiednim raporcie.
- Czy zdarzenia VPN są widoczne?: Zbuduj i rozłącz połączenie testowe. Logowanie, połączenie i rozłączenie są widoczne w wybranym okresie.
- Czy baza czasowa pasuje?: Porównaj czas zapory, okres Sophos Central i lokalną strefę czasową. Zdarzenia nie pojawiają się w nieoczekiwanym okresie.
- Czy przechowywanie jest wystarczające?: Sprawdź starsze dane w Report Hub i obserwuj zużycie magazynu. Przechowywanie pasuje do licencji i wewnętrznego celu.
- Sprawdzić log settings: W System services > Log settings sprawdzić, czy reguły firewall generują Log firewall traffic oraz czy reguły SSL/TLS inspection mają w razie potrzeby aktywne Log connections.
W przypadku wielu zapór należy dodatkowo sprawdzić, czy nazwa hosta, numer seryjny, model lub lokalizacja są jednoznacznie rozpoznawalne. W przeciwnym razie późniejszy przypadek bezpieczeństwa lub wsparcia będzie niepotrzebnie trudny, ponieważ zdarzenia są obecne, ale nie można ich szybko przypisać do odpowiedniego urządzenia.
Używanie raportów
Sophos Central może wyświetlać, filtrować i w zależności od licencji również planować raporty.
Przydatne raporty dla operacji:
- Najczęściej blokowane aplikacje.
- Kategorie sieci Web z dużym ruchem.
- Połączenia VPN.
- Zdarzenia IPS.
- Zdarzenia NDR i Active Threat Response.
- Najczęściej używane reguły według liczby trafień.
- Analizy związane z użytkownikami lub hostami.
Jeśli kategorie sieci Web mają być nie tylko analizowane, ale także aktywnie zgłaszane przy krytycznych dostępach, pasuje Używanie kategorii sieci Web Sophos Firewall i natychmiastowych alertów.
Dla powtarzających się kontroli operacyjnych można planować raporty lub zapisywać je jako szablony. Jeśli używane są NDR Essentials lub NDR Active Threat Intelligence, należy połączyć proces z Obsługą NDR i Active Threat Response w Sophos Firewall z Central Reporting lub analizą SIEM.
Rozwiązywanie problemów
Brak danych w Sophos Central
Należy sprawdzić, czy zapora jest online i może komunikować się z Sophos Central. Dodatkowo należy sprawdzić DNS, bramę domyślną i czas. Następnie należy sprawdzić na zaporze pod System > Sophos Central, czy Send reports and logs to Sophos Central jest nadal aktywne i czy w Sophos Central nie oczekuje potwierdzenie usługi.
Jeśli zapora jest zarządzana przez Sophos Central, ale nie dostarcza raportów, należy oddzielnie sprawdzić dostęp do zarządzania i raportowanie. Działający login Central na zaporze nie dowodzi automatycznie, że wszystkie wybrane typy logów również docierają do Report Hub.
Brak tylko pojedynczych typów logów
Należy sprawdzić lokalne ustawienia logów zapory. Jeśli obszar nie jest logowany lokalnie, nie może być sensownie przesyłany do Central Reporting.
Szczególnie często brakuje nie połączenia Central, ale samego zdarzenia:
- Reguły zapory nie mają aktywowanego Log firewall traffic.
- Pod System services > Log settings kolumna Central reporting dla typu logu nie jest aktywna.
- Wybrany raport obejmuje inny okres lub inną zaporę.
- Raporty użytkowników lub sieci Web pozostają puste, ponieważ zapora nie widzi tożsamości użytkownika.
- Zdarzenia NDR lub Active Threat Response brakuje, ponieważ funkcja jest aktywna globalnie, ale nie jest w pełni zintegrowana w regułach lub logowaniu.
Raporty pokazują stare dane
Central Reporting nie działa w czasie rzeczywistym. Należy sprawdzić wybrany zakres czasu w raporcie i odczekać kilka minut przed ponowną zmianą konfiguracji. Dla nowych zdarzeń opóźnienie jest normalne, ponieważ firewall wysyła dane okresowo, a Sophos Central przetwarza je później.
Jeśli dane wydają się stale opóźnione lub niekompletne, nie należy wielokrotnie zaznaczać tych samych opcji. Lepiej jest przeprowadzić zdefiniowany test z czasem, źródłem, celem, typem logu i oczekiwaną zaporą. Następnie można porównać Log Viewer, Central Report Hub i w razie potrzeby Syslog lub lokalne logi.
Zbyt wiele lub zbyt mało danych
Należy dostosować wybór logów i filtry w Sophos Central. Dla audytów lub przypadków wsparcia może być sensowne zbieranie większej ilości danych. Dla normalnej operacji często wystarczają ukierunkowane raporty.
Zbyt wiele danych to nie tylko problem magazynowy. Analiza staje się również trudniejsza, jeśli nikt nie sprawdza regularnie raportów. Zbyt mało danych jest natomiast krytyczne, jeśli w przypadku incydentu brakuje dokładnie zdarzeń zapory, VPN, sieci Web lub IPS. Dlatego wybór logów nie powinien być ustawiany jednorazowo, ale powinien pasować do planowanych przypadków użycia.
Sprawdzanie Central Reporting po zmianach
Po określonych zmianach należy świadomie kontrolować Central Reporting:
- Aktualizacja lub przywrócenie oprogramowania układowego.
- Przełączenie HA lub wymiana urządzenia.
- Zmiana rejestracji lub usług Sophos Central.
- Nowe reguły zapory, polityki sieci Web, polityki IPS lub profile VPN.
- Zmiana licencji, pakietu lub uprawnienia Reporting-Advanced.
- Reimage, przywrócenie lub migracja na nowy model.
Dla centralnych zmian przez Sophos Central pasuje dodatkowo Kolejka zadań zarządzania zaporą Sophos Central. Tam można zobaczyć, czy Central w ogóle pomyślnie zastosował zmianę na zaporze. Dla lokalnych zmian konfiguracji należy uwzględnić Logi ścieżki audytu i w przypadku problemów z regułami Log Viewer z Policy Test i Packet Capture.
Zabezpieczanie logów dla przypadków wsparcia
Central Reporting nie zastępuje każdej lokalnej analizy logów. Jeśli wsparcie Sophos lub Avanet potrzebuje pełnej lokalnej kolekcji logów, można dodatkowo eksportować logi zapory.
Dla przypadków wsparcia należy więc wyraźnie rozdzielić:
- Pokazanie historii, raportów, dotkniętych użytkowników lub najważniejszych zdarzeń: Central Reporting
- Sprawdzanie pojedynczego połączenia na żywo: Log Viewer, Policy Test i Packet Capture
- Sprawdzanie błędów usług, logów debugowania lub statusu modułu: lokalne pliki logów i logi usług
- Przygotowanie pełnego pakietu dla wsparcia Sophos lub Avanet: lokalny eksport logów lub skonsolidowany raport rozwiązywania problemów
W praktyce Central Reporting jest często najlepszym punktem wyjścia, ponieważ można szybciej zawęzić okno czasowe, zaporę, użytkownika, IP źródłowe i dotkniętą regułę. Do właściwej analizy przyczyn często potrzebne są jednak dodatkowe lokalne logi, szczególnie w przypadku problemów z VPN, WAF, IPS, HA, systemem lub usługami. Proces opisano w Zabezpieczanie logów Sophos Firewall dla wsparcia i analizy. Dla przypisania modułów i usług pomocne jest dodatkowo Rozwiązywanie problemów z usługami i logami Sophos Firewall.
Rekomendacje operacyjne
Central Firewall Reporting jest szczególnie przydatne przy wielu zaporach lub regularnie potrzebnych raportach. Do rozwiązywania problemów pomocne jest korzystanie z lokalnych logów i Central Reporting razem: Central dla przeglądu i historii, lokalne logi dla analizy szczegółowej bezpośrednio na zaporze.
W środowiskach produkcyjnych Central Reporting powinno być traktowane jak proces operacyjny:
- Wybierz typy logów według celu, nie aktywuj wszystkiego.
- Ustal właściciela raportów, który naprawdę sprawdza planowane raporty i zauważalne trendy.
- Regularnie kontroluj zużycie magazynu i najstarsze dostępne dane.
- Po aktualizacjach oprogramowania układowego, przełączeniu HA, przywróceniu lub zmianie licencji przeprowadź krótki test raportowania.
- Zdefiniuj co najmniej jeden test incydentu: znajdź dotknięte IP źródłowe, ID reguły, użytkownika VPN lub kategorię sieci Web w Report Hub.
- Dla operacji bezpieczeństwa zdecyduj, które zdarzenia pozostają w Central, a które dodatkowo trafiają do SIEM.
Dla małych środowisk często wystarcza miesięczny przegląd raportów zapory, sieci Web, VPN i IPS. Przy wielu lokalizacjach, operacjach MSP lub wymaganiach zgodności powinien istnieć stały termin przeglądu. Wtedy sprawdza się, czy oczekiwane typy logów nadal docierają, czy magazyn i licencja pasują do pożądanego przechowywania i czy raporty w razie potrzeby szybko odpowiadają na właściwe pytania.
Jeśli logi są istotne dla operacji bezpieczeństwa, reakcji na incydenty lub zgodności, należy dodatkowo zdecydować, czy Syslog do SIEM jest potrzebny. Central Reporting jest bardzo przydatne do analiz Sophos Central, ale nie zastępuje automatycznie międzyproducentowego archiwum logów lub procesu SOC.